TRACE

계좌, 허위 웹페이지 URL 등이 나오는 것을 보니 은행 사이트와 관련된 문제일 것이다.

Wireshark의 [Export Objects] - [HTTP] 기능을 사용하여 

사용자가 접속한 URL 정보들을 확인해봤다.

전체적으로 보면 infocenter.nackofamerica.com에 계속 접속해있었다.

하지만 중간에 자세히 보면, 

backofamerica.tt.omtrdc.net 이라는 이름이 비슷한 주소로 이동한 것을 볼 수 있다.

이것이 피싱사이트 일 것이라고 예상된다.

해당 패킷의 TCP Stream을 따라가보자

중간에 내용을 보면 mBoxReferrer 파라미터에 url 인코딩된 내용이 있다.

대충 예상해보면 why is my bank of america account not working을 구글에서 검색한 것으로 보인다.

따라서 이것이 피싱 사이트임을 확신할 수 있었다.